Documentos legales publicados como parte de una disputa legal en curso entre WhatsApp de Meta y NSO Group han revelado que el proveedor de software espía israelí utilizó múltiples exploits dirigidos a la aplicación de mensajería para entregar Pegasus, incluido uno incluso después de que Meta lo demandara por hacerlo.
También muestran que NSO Group encontró repetidamente formas de instalar la herramienta de vigilancia invasiva en los dispositivos del objetivo mientras WhatsApp erigía nuevas defensas para contrarrestar la amenaza.
En mayo de 2019, WhatsApp dijo que había bloqueado un sofisticado ciberataque que explotaba su sistema de videollamadas para entregar subrepticiamente el malware Pegasus. El ataque aprovechó una falla de día cero rastreada como CVE-2019-3568 (puntuación CVSS: 9,8), un error crítico de desbordamiento del búfer en la funcionalidad de llamadas de voz.
Los documentos ahora muestran que NSO Group “desarrolló otro vector de instalación (conocido como Erised) que también utilizó servidores de WhatsApp para instalar Pegasus”. El vector de ataque, un exploit sin clic que podría comprometer el teléfono de una víctima sin ninguna interacción por parte de la víctima, fue neutralizado en algún momento después de mayo de 2020, lo que indica que se empleó incluso después de que WhatsApp presentó una demanda en su contra en octubre de 2019.
Se cree que Erised es uno de los muchos vectores de malware, denominados colectivamente Hummingbird, que el Grupo NSO había ideado para instalar Pegasus utilizando WhatsApp como conducto, incluidos los rastreados como Heaven y Eden, el último de los cuales es un nombre en clave para CVE. -2019-3568 y se había utilizado para apuntar a unos 1400 dispositivos.
“(NSO Group) admitió que desarrollaron esos exploits extrayendo y descompilando el código de WhatsApp, aplicando ingeniería inversa a WhatsApp y diseñando y utilizando su propio ‘Servidor de instalación de WhatsApp’ (o ‘WIS’) para enviar mensajes con formato incorrecto (que un WhatsApp legítimo el cliente no pudo enviar) a través de los servidores de WhatsApp y, por lo tanto, provocar que los dispositivos objetivo instalen el agente de software espía Pegasus, todo en violación de las leyes federales y estatales y del lenguaje sencillo de los Términos de servicio de WhatsApp”, según el tribunal no sellado documentos.
Específicamente, Heaven utilizó mensajes manipulados para obligar a los servidores de señalización de WhatsApp, que se utilizan para autenticar al cliente (es decir, la aplicación instalada), a dirigir los dispositivos de destino a un servidor de retransmisión de terceros controlado por NSO Group.
Se dice que las actualizaciones de seguridad del lado del servidor realizadas por WhatsApp a finales de 2018 llevaron a la compañía a desarrollar un nuevo exploit, llamado Eden, en febrero de 2019 que eliminó la necesidad del propio servidor de retransmisión de NSO Group en favor de retransmisiones operadas por WhatsApp.
“NSO se negó a indicar si desarrolló más vectores de malware basados en WhatsApp después del 10 de mayo de 2020”, según uno de los documentos. “NSO también admite que los vectores de malware se utilizaron para instalar Pegasus con éxito en ‘entre cientos y decenas de miles’ de dispositivos”.
Además, las presentaciones ofrecen una mirada detrás de escena de cómo se instala Pegasus en el dispositivo de un objetivo usando WhatsApp, y cómo es NSO Group, y no el cliente, quien opera el software espía, contradiciendo afirmaciones anteriores de la compañía israelí.
“El papel de los clientes de NSO es mínimo”, afirman los documentos. “El cliente solo necesitaba ingresar el número del dispositivo de destino y ‘presionar Instalar, y Pegasus instalará el agente en el dispositivo de forma remota sin ningún compromiso’. En otras palabras, el cliente simplemente realiza un pedido de datos del dispositivo objetivo y NSO controla cada aspecto del proceso de recuperación y entrega de datos a través de su diseño de Pegasus”.
NSO Group ha sostenido repetidamente que su producto está destinado a ser utilizado para combatir delitos graves y terrorismo. También ha insistido en que sus clientes son responsables de gestionar el sistema y tener acceso a la inteligencia recopilada por él.
En septiembre de 2024, Apple presentó una moción para desestimar “voluntariamente” su demanda contra NSO Group, citando un panorama de riesgos cambiante que podría llevar a la exposición de información crítica de “inteligencia sobre amenazas” y que “tiene el potencial de poner información de seguridad vital en peligro”. riesgo.”
En el ínterin, el fabricante del iPhone ha agregado constantemente nuevas características de seguridad para dificultar la realización de ataques de software espía mercenario. Hace dos años, introdujo el modo de bloqueo como una forma de reforzar las defensas del dispositivo al reducir la funcionalidad de varias aplicaciones como FaceTime y Mensajes, así como bloquear perfiles de configuración.
Luego, a principios de esta semana, surgieron informes sobre un novedoso mecanismo de seguridad en las versiones beta de iOS 18.2 que reinicia automáticamente el teléfono si no se desbloquea durante 72 horas, lo que requiere que los usuarios, incluidas las agencias policiales que pueden tener acceso a los teléfonos de los sospechosos, vuelvan a introduzca la contraseña para acceder al dispositivo.
Magnet Forensics, que ofrece una herramienta de extracción de datos llamada GrayKey, confirmó la función de “reinicio por inactividad”, afirmando que el disparador está “vinculado al estado de bloqueo del dispositivo” y que “una vez que un dispositivo ha entrado en un estado bloqueado y no ha sido desbloqueado dentro de 72 horas, se reiniciará.”
“Debido al nuevo temporizador de reinicio por inactividad, ahora es más imperativo que nunca que los dispositivos obtengan imágenes lo antes posible para garantizar la adquisición de la mayor cantidad de datos disponibles”, añadió.